标签: Windows

TrickBot 银行木马开始窃取 Windows 问题历史记录

据外媒 bleepingcomputer 报道,最近监测到一个版本的 TrickBot 显示出了它对一些特有数据的兴趣:Windows 系统可靠性和性能信息。 微软在 Windows 操作系统上运行可靠性分析组件(RAC),为可靠性监测提供有关软件安装、升级、操作系统和应用程序错误以及硬件相关问题的详细信息。为此,它每小时使用 RACAgent 计划任务,并将所有数据转储到本地文件夹。用户可以从任务计划进程中禁用这些详细信息的收集,但这样就不能再获得可靠性监测的系统稳定性索引。 网络钓鱼活动揭示了 TrickBot 的新兴趣 My Online Security 对网络钓鱼活动的分析显示,本周发现的 TrickBot 变体主要集中在读取和获取操作系统可靠性数据库以及C:\ ProgramData \ Microsoft \ RAC \下的可用信息。 安全研究员  詹姆斯  在 Twitter 上发布了该恶意软件搜索到的文件列表: Exfiltrated Data 目前还不清楚这类数据会对黑客有什么好处,但它可以用于恶意目的,例如更好地定位钓鱼邮件。 TrickBot 通过虚假 Lloyds 银行电子邮件传播 该网络钓鱼活动使用虚假的 Lloyds 银行邮件地址’donotreply@lloydsbankdocs.com’传播 TrickBot,这很容易被误以为真。钓鱼者伪造邮件信息,诱使潜在受害者打开包含恶意宏的附加文档。一旦受害者打开文档,宏代码将下载并执行 TrickBot。 网络钓鱼电子邮件 附在钓鱼邮件上的 Office Word 文档包含 Lloyds 银行的文档页头,使其看起来更加真实。此外,黑客还添加了赛门铁克徽标,让恶意文件看起来通过了安全解决方案的验证。 尽管黑客努力隐藏其恶意性质,但该文件目前至少被 VirusTotal 上的 30 个防病毒引擎检测到。   消息来源:bleepingcomputer,编译:吴烦恼; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

黑客在 Windows 安装文件中隐藏加密货币挖掘恶意软件

安全研究人员表示,黑客现在伪装加密货币挖掘恶意软件,并将其作为合法的 Windows 安装包传递出去。研究人员表示,这种恶意软件,通常被称为 Coinminer,使用了一系列混淆方法,使其攻击特别难以检测。 这一发现来自安全公司趋势科技(Trend Micro),它表示,恶意软件作为 Windows Installer MSI 文件到达受害者的计算机上,这是值得注意的,因为 Windows Installer 是用于安装软件的合法应用程序。使用真正的 Windows 组件使其看起来不那么可疑,并可能允许它绕过某些安全过滤器。 黑客的诡计并不止于此。研究人员指出,一旦安装,恶意软件目录包含充当诱饵的各种文件。除此之外,安装程序还附带了一个脚本,可以杀掉在受害者电脑上运行的任何反恶意软件进程,以及受害者自己的加密货币挖掘模块。 研究人员还观察到,恶意软件具有内置的自毁机制,使检测和分析更加困难,它会删除其安装目录下的每个文件,并删除系统中的任何安装痕迹。虽然趋势科技还无法将攻击链接定位到特定国家/地区,但它注意到安装程序使用了西里尔语。平心而论,西里尔语似乎在加密货币罪犯中非常受欢迎。     稿源:cnBeta,封面源自网络;  

又一 Windows 的 0day 漏洞在 Twitter 上被公开

微软Windows最近麻烦不断,“bug 10”问题让人哭笑不得的同时,一个真正的威胁又出现了。新的0day漏洞已经被披露,会影响所有最近的Windows版本,包括Windows 10。用户名“SandboxEscaper”的研究人员在Twitter和GitHub上分享了概念证明(Proof of Concept),确认此漏洞存在。 根据研究人员的报告,最新的Windows零日漏洞影响了微软数据共享组件(dssvc.dll),这是一种在应用程序之间提供数据代理的本地服务。 该漏洞影响Windows操作系统,包括Windows 10(安装最新的被戏称为“bug 10”的2018年10月更新同样未能幸免),更重要的是,运行角色重要得多的Windows Server 2016,甚至是新的Server 2019也在受影响之列。 ACROS Security的联合创始人兼首席执行官Mitja Kolsek警告用户不要因为好奇而在生产环境中运行这个PoC,因为它会删除Windows文件并需要用户运行系统还原来修复它,最好的方法就是等待微软修补这个漏洞。   稿源:cnBeta,封面源自网络;

用于崩溃多数最新 Windows 版本的 POC 代码已发布

近日,一名罗马尼亚硬件专家在 GitHub 上发布了能立即崩溃多数 Windows 版本的 POC 代码,即使计算机处于锁定状态也能在几秒钟内崩溃。据悉,该 PoC 利用了微软处理 NTFS 文件系统映像时存在的一个漏洞,该漏洞由 Bitdefender 公司的研究员 Marius Tivadar 发现。 NTFS 漏洞和 Windows autoplay 功能不完全兼容 该 POC 中包含了一个格式错误的 NTFS 映像,用户可以提取该映像并将其放在 U 盘中。当 Windows 计算机中插入了该U盘后,系统会在几秒内崩溃,导致死机蓝屏(BSOD)。 Tivadar 在详细说明该漏洞情况及其影响时指出,Windows autoplay 功能被默认激活。即使它被禁用,当文件被访问时,系统也会崩溃。例如,当 Windows Defender 扫描或使用其它工具打开 U 盘时就能够导致系统崩溃。 微软拒绝修复 其实 Tivadar 早在 2017 年 7 月就此问题与微软联系,但是微软拒绝将此问题归类为安全漏洞。微软降低了该漏洞的严重程度,因为他们认为利用漏洞需要物理访问或社交工程(指欺骗用户)。 不过 Tivadar 并不同意微软方面的解释。他指出,物理访问不一定是必需的,因为攻击者可以使用恶意软件远程部署 POC。 NTFS 漏洞也会导致锁定的 PC 崩溃 Tivadar 认为 NTFS 漏洞比微软认为的更危险,因为它也可以在 PC 锁定的情况下工作。Tivadar 表示操作系统不应该从插入端口的随机 U盘中读取数据。一般来说,当系统被锁定并且外部设备插入机器时,不应该加载驱动程序和执行代码。 完整 POC: 《 PoC for a NTFS crash that I discovered, in various Windows versions 》 消息来源:bleepingcomputer,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

美国国防部:Windows 10 迁移工作已接近尾声

美国国防部(DoD)4 日表示 Windows 10 的升级工作已经接近尾声,目前机构内大部分设备已经完成升级,只有少量几个办公室还没有完成。2016 年 2 月,美国国防部宣布和微软开展合作,将机构内的设备升级至 Windows 10,原定目标在 2017 年年初完成,但由于牵涉的设备数量和基础设施过于庞大和复杂,日前曾宣布于 2018 年 3 月 31 日完成迁移。 美国国防部首席信息官 Essye Miller 表示整个升级过程极具挑战性,但是并未对外披露具体的细节。Miller 表示:“除了少数办公室之外,机构大部分已经完成升级。今天早上,我们和副国务卿为那些辛苦工作的人一起庆祝。这真的是一段非常漫长的旅程啊。” 稿源:cnBeta,封面源自网络

黑客可利用 Windows 远程协助窃取敏感文件

Trend Micro 0-day 计划的研究人员发现微软的 Windows 远程协助(快速访问)功能出现严重的信息披露漏洞(CVE-2018-0878),影响目前为止所有版本的 Windows,Windows 10、 8.1、 RT 8.1 以及 7 都包括在内。利用这个漏洞,远程攻击者可以窃取目标计算机中的敏感文件。 Windows 远程协助是微软的内置工具,利用这个工具,用户与信任的人之间可以相互接管对方的计算机。这个功能原本是借由远程桌面协议(RDP)实现的。 目前,在微软 3 月份的修复日中,这个漏洞已经被修复,用户可以尽快下载补丁,更新修复。 稿源:FreeBuf,封面源自网络;

三月微软累积更新已修复 RDP 协议严重漏洞 影响 Windows Vista 以后系统

在本月的补丁星期二活动上线的累积更新,微软推送安全补丁修复一项利用微软 RDP 远程桌面协议的严重漏洞 CVE-2018-0886,影响所有 Windows Vista 以后的 PC 系统。如果攻击者利用 RDP 协议的远程代码执行漏洞,将通过远程桌面控制端向远程桌面端发起中间人攻击注入可执行恶意密码,这一漏洞率先由信息安全公司 Preempt 发现并向微软报告,微软成功在公布期内修复了此漏洞,目前尚未被黑客利用,但公司敦促各组织企业的 IT 管理员尽快安装最新累计更新。 该漏洞利用了一项在客户端计算机上启用凭据安全服务提供程序 (CredSSP) 身份验证的逻辑缺陷,会在用户使用Windows远程管理应用和 RDP 远程桌面协议发生,由于是逻辑性错误,这将影响所有部署 RDP 协议的 Windows 系统版本,包括 Windows Vista/7/8.x/10 等,请用户尤其是企业级用户尽快升级累积更新。2017 年 8 月 20 日首次向微软 MSRC 披露此漏洞,2017 年 8 月 30 日微软回应已经执勤。 稿源:cnBeta,封面源自网络;

远程桌面协议 CredSSP 出现漏洞,影响所有版本的 Windows

RDP 和 WInRM 中使用的 CredSSP 协议(安全加密 Windows 用户远程登录过程)中出现严重漏洞,影响所有版本的 Windows。 远程攻击者额可以利用这个漏洞,使用 RDP 和 WinRM 窃取数据并运行恶意代码。这个漏洞由网络安全公司 Preempt Security 发现,编号为 CVE-2018-0886,是一个逻辑加密漏洞,可被中间人攻击者利用,通过 WiFi 或物理接触网络来窃取 session 认证数据,发起远程进程调用攻击。 如果用户和服务器通过 RDP 和 WinRM 连接协议进行认证,中间人攻击就能执行远程命令,入侵企业网络。而由于 RDP 是远程登录中最常用的应用,几乎所有企业用户都在使用,因此,这个漏洞可造成大范围影响。 目前,微软已经发布相关更新补丁,用户应尽快下载更新,同时可以禁用 RDP 等相关应用端口,尽可能少使用特权账户,多使用非特权账户。 稿源:freebuf,封面源自网络;

微软正在调查严重影响 Windows 安全的 CFG 绕过漏洞

上个月的时候,谷歌 Project Zero 团队曝光了与微软 Edge 浏览器和 Windows 10 操作系统相关的最新漏洞,引发了业内许多安全研究人员的注意。祸不单行的是,意大利帕多瓦大学的研究人员们,刚又曝光了严重影响 Windows 8.1 和 Windows 10 安全的“控制流防护”(CFG)设计漏洞。据悉,微软在 Windows 8.1 Update 3 中率先引入了内核级的 CFG 功能,并且一路延续至 Windows 10 操作系统。 微软将 CFG 描述为“一个高度优化的、可应对内存泄露漏洞的安全特性平台”。其旨在代码中增加间接的调用和跳转,从而阻止攻击者在任意地址执行代码。 遗憾的是,帕多瓦大学的安全研究人员,已经在其中发现了一个“使 CFG 向后兼容以提升性能”的设计缺陷。研究员之一的 Andrea Biondo 表示: 只有当被允许的目标与 16 字节对齐时,控制流的限制才是精准的。若不是,就会有一个围绕目标的 16 字节非精准地址。 通过将未对齐的目标组合在公共库中、结合编译器生成的函数布局的可预测性,我们就可以绕过控制流防护(CFG)。 研究人员将在本月召开的黑帽亚洲大会上披露漏洞的详情,期间他们还会演示绕过 64 位 Windows 10 中的 Microsoft Edge 浏览器的 CFG bypss 概念验证代码,以证明该漏洞在真实场景中的运用。 报告称,这一漏洞让超过 5 亿台计算机面临安全威胁。更糟糕的是,由于 BATE 没有特别指定,这进一步放大了它的危害性。如果受害进程加载了某些公共库,漏洞就可轻易地被利用。 安全研究人员表示,他们已经向微软通报了此事,当前该公司正在着手修复,预计会随即将发布的 Windows 10 Redstone 4 更新一同到来。 稿源:cnBeta,封面源自网络;

恶意软件 ComboJack 可监控 Windows 剪贴板,以替换加密货币钱包地址获利

外媒 3 月6 日消息,Palo Alto Networks 的安全研究人员发现了一种名为 ComboJack 的恶意软件,它能够检测用户何时将加密货币地址复制到了 Windows 剪贴板,并随后通过恶意代码将剪贴板中的地址替换为攻击者的钱包地址,达到窃取加密货币的目的。 ComboJack 攻击不仅支持多种加密货币(其中包括 比特币、莱特币、门罗币和以太坊),还可以针对其他数字支付系统,如 Qiwi、Yandex Money 和 WebMoney(美元和卢布支付)。 目前该恶意软件正在通过针对日本和美国用户的钓鱼邮件进行分发。攻击者在邮件中存放了一个被称为是护照扫描件的恶意 PDF 附件,当用户打开这个 PDF 时,附件中一个试图利用 DirectX 漏洞(CVE-2017-8579 )的 RTF 文件也将被打开。研究人员发现,该 RTF 文件引用了嵌 入式远程对象(一个包含编码 PowerShell 命令的 HTA 文件)。一旦从远程服务器获取到,该 HTA 文件会立即运行一系列 PowerShell 命令来下载并执行一个自解压文件(SFX)。这时感染过程还并未结束,只有该 SFX 文件下载并运行另一个受密码保护的 SFX 文件后,才能成功提取 ComboJack ,而为了实现持久性,ComboJack 还会设置一个注册表项。 这些步骤完成后,ComboJack 将开始每半秒检查一次剪贴板的内容,以确定是否复制了不同数字货币的钱包信息。一旦成功捕获,ComboJack 将会使用硬编码数据来替换钱包地址,并试图将资金转移到目标钱包。 研究人员分析指出,这种攻击策略依赖于钱包地址冗长而复杂,因为为了防止错误,大多数用户会选择复制字符串而不是手动输入。 随着加密货币价格的持续上涨,未来可能会出现越来越多针对虚拟货币的恶意软件,因为它是目前非法获利较多、较为快捷便利的方式之一。 消息来源:securityweek,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。